Azure Sentinel Adım Adım Bulut SIEM Kullanımı – Bölüm7 – Analytics

SIEM gibi ürünlerde toplanan verilerden oluşan yoğunluğu azaltmak ve bu verilerin anlamlandırılması, incelenmesi, araştırılması için korelasyon dediğimiz yöntemler kullanılır. Yani logların anlamlandırılması diye özetleyebiliriz. Bu aslında birbirinden bağımsız kaynaklardan alınan logların tek bir gözle bakıp olası olaylar ile ilişkilendirmeyi sağlar. Basit bir örnek vermek gerekir ise bir kullanıcı şirkete giriş yapmadan yani SIEM bunu kapı geçiş sisteminin kart okuma veri tabanından aldığı log’ dan öğreniyor kişi vpn bağlantısı da yapmadan ilgili kişiye ait local bir login isteği gelir ise bir uyarı üretmesi gibi düşünebilirsiniz. Logların anlamlandırılması için tabi ki Microsoft’ ta makine öğrenme teknolojilerinden yararlanmaktadır.

Veri kaynaklarınızı Azure Sentinel’ e bağladıktan sonra şüpheli bir şey olduğunda bilgilendirilmek istersiniz. Bunu yapabilmeniz için Azure Sentinel size hazır yerleşik şablonlar sunar. Bu şablonlar, bilinen tehditlere, yaygın saldırı vektörlerine ve şüpheli etkinlik yükseltme zincirlerine (Türkçesi muhtemel anlamlı olmaz diye İngilizce yazıyorum escalation chains) dayalı olarak Microsoft’un güvenlik uzmanları ve analistlerinden oluşan ekip tarafından tasarlanmıştır. Bu bölüm tabiki çok önemli, yani bu konuda çok ciddi manada uzman personeller tarafından sürekli olarak güncellenen şablonlardan bahsediyoruz. Bu şablonları etkinleştirdikten sonra ortamınızda şüpheli görünen tüm etkinlikleri otomatik olarak arayacaktır. Şablonların çoğu ihtiyaçlarınıza göre etkinlikleri aramak veya filtrelemek için özelleştirilebilir. Bu şablonlar tarafından oluşturulan uyarılar ortamınızda atayabileceğiniz ve araştırabileceğiniz olaylar oluşturur ki buna da incident diyoruz, bu da makalemin bir sonraki bölümü oluyor.

Bu bölümde temel 4 tip uyarı görebilirsiniz.

Microsoft Security

Diğer Microsoft güvenlik ürünleri tarafından oluşturulan uyarıların sonucunda bir incident yani olay oluşturmak için kullanılan şablonlardır. Basit bir örnek vermek gerekir ise azure security center (Microsoft Cloud App Security veya Azure Advanced Threat Protection gibi diğer ürünlerden)  üzerinde kimlik ile ilgili bir anomali olması durumunda uyarılar oluşur bu uyarılardan (yani birkaç uyarının bir arada kullanılmasına uyarı grubu diyoruz) bir olayın oluşması için bir tetikleme gerçekleşir. Bu şablonları görmek için “rule templates” bölümüne tıklamanız yeterlidir.

Fusion

Fusion teknolojisine dayalı olarak, Azure Sentinel’deki gelişmiş çok aşamalı saldırı algılama, birden fazla üründeki düşük aslına uygun uyarıları ve olayları yüksek kaliteli ve eyleme geçirilebilir olaylarla ilişkilendirebilen ölçeklenebilir makine öğrenme algoritmaları kullanır. Fusion varsayılan olarak etkindir. Ancak bu teknolojinin çok detayını paylaşmıyorlar çünkü malum bunu paylaşmaları durumunda bunu atlatacak atakların olması muhtemel.

Machine Learning Behavioral Analytics

Bu şablonlar tescilli Microsoft makine öğrenimi algoritmalarına dayanır, böylece nasıl çalıştıklarının ve ne zaman çalıştıklarının detayını göremezsiniz. Çalışma mantığı gizlendiğinden bunu kural oluştururken şablon olarak kullanamazsınız.

Scheduled

Zamanlanmış analitik kuralları, Microsoft güvenlik uzmanları tarafından yazılan zamanlanmış sorgulardır. Sorgu mantığını görebilir ve üzerinde değişiklik yapabilirsiniz. Zamanlanmış kuralları, benzer mantıkla yeni kurallar oluşturmak için şablon olarak kullanabilirsiniz.

Eğer bu şablonların üzerinden bir analitik kuralı oluşturmak isterseniz üzerine tıklamanız ve sağ bölümden “create rule” butona tıklamanız yeterli.

Burada en önemli iki bölüm kullanacağınız güvenlik servisini seçebiliyorsunuz

Ya da olayın öncelik tanımı yapabiliyoruz.

Eğer şablon kullanmak istemiyorsanız aşağıdaki gibi sıfırdan kendi kuralınızı oluşturabilirsiniz.

Microsoft incident Creation rule genelde diğer güvenlik ürünü kaynaklı bilgi içerdiği için scheduled query rule gibi sizden ek bir bilgi istemez. Yani zaten toplanmış bir data içerisinde gerçek zamanlı bir uyarı sonucunda olay tetiklenebilir ancak size özel bir kural istiyorsanız Scheduled rule diyerek ilerleyebilirsiniz.

Örneğin login denemelerini yakalamak istiyorsanız öncelikle yeni bir analitik kuralı oluşturalım.

Scheduled query rule bölümünü seçelim.

Ardından anlamlı bir isim, açıklama verelim. Tactics ise atak taktiği olarak düşünebilirsiniz, örneğin 4625 hatalı login denemeleri olduğu için kimlik erişimi (Credential Access) olarak seçtim. Alt bölümde ise önem derecesini seçiyoruz.

Bu bölümde hangi zaman aralıklarında hangi sorgunun çalıştırılacağını, toplam hangi zaman aralığı için sonucun toplanacağını ve hangi değere ulaşır ise bunun bir uyarı olacağını seçiyoruz. Sağ bölümdeki grafik bize bu değerleri netleştirmemizde yardımcı oluyor.

Run query every

Sorgunun hangi sıklıkta çalıştırılacağına karar verir.

Lookup data from the last

Sorgu tarafından kapsanan verilerin zaman aralığını belirlemek için kullanılır. Örneğin, son 10 dakikalık veriyi veya son 6 saatlik veriyi sorgulayabilirsiniz gireceğiniz değerlere göre.

Alert threshold bölümü ise aslında kuralı tetiklenmesi için verdiğiniz süre içerisindeki sorgu sonuçlarının rakamı hangi değere ulaşır ise uyarı oluşacağına karar verdiğiniz bölümdür.

Generate alert when number of query results to Is greater than bölümünü kullanarak sorgu sonuçlarının sayısı belirtebilirsiniz. Örnek her 5dk da bir son 5dk lık veri içerisinde 10 adet event 4625 görürsem bu bir uyarı olsun diyebilirim. Ama burada sağ taraftaki grafiği iyi kullanmak gerekli. Örnek benim demo için kullandığım makine internete rdp portu açık bir makine ve sürekli atak yiyor bundan dolayı event id 4625 gördüğünüz gibi son 5dk içerisinde 80’ in altına pek düşmüyor. Bir nevi benim için baseline yani normal bu. Tabi sizde böyle olmamalı. Örnek sizde olan kendi kullanıcılarınız kaynaklı bu kadar bir log oluyor ise değeri en az 100 yapmalısınız ki gerçekten rutin yanlış şifre denemeleri dışında bir atak var ise onu görebilesiniz.

Örnek ben rakamı 50 yapınca sistem otomatik her türlü uyarı oluşacak diyor. Bu arada bu rakamı sıfır yaparsanız her türlü uyarı gelir, yani bir sorgunuz var ve sonuç 1 oluyor 3 oluyor vs siz ise bu sorgu sonucu 1 dahi olsa yani bu olay vs bir kere bile olduğunda olayın tetiklenmesini istiyorsanız değeri sıfır verin.

Bir sonraki bölüm ise bu kuraldan bir uyarı oluşturmak istiyorsanız veya uyarıları gruplamak istiyorsanız kullanacağınız bir bölüm. Malum olaylar yani incident, alert yani uyarı temellidir. Özellikle geleneksel SIEM sistemlerinde her bir uyarıdan olay oluşturulduğu için çok verimli olmamak ile beraber SIEM ve benzeri yeni nesil ürünlerde artık uyarılar gruplanarak anlamlı olaylara dönüştürülmektedir. Yani farklı kaynaklardan gelen verileri farklı güvenlik ürünleri (Microsoft ürünleri oluyor burada makalemde daha önce bahsetmiştim) denetliyor ve uyarılar oluşturuyor, bu uyarılar ise analitik kuralları sayesinde olaylara dönüşüyor. Bu sayede önünüze bir olay düştüğünde gerçekten aksiyon almanız gereken bir konu ile karşı karşıya olduğunuzu anlıyorsunuz.

Incident konusunda bir sonraki makalemde bilgi vereceğim için bu bölümü detaylandırmıyorum.

Bir sonraki bölüm yine ayrı bir makalede değineceğim Automated response, yani böyle bir uyarı oluştuğu zaman ne yapmalıyız? Aslında en basit aksiyon mail attırmak ama benim planım daha detaylı birkaç senaryo paylaşmak olacaktır. Bu nedenle bu bölümü de geçip uyarıyı tamamlıyorum.

Gördüğünüz gibi 3 kuralım vardı şimdi 4 oldu. Tabiki son kuraldan sonra olaylarımız aşağıdaki gibidir;

Gördüğünüz gibi oluşturduğumuz analitik kuralı sayesinde Incidents bölümünde yeni olayların tanımlandığını görüyoruz.

Makalemin bir sonraki bölümünde Incidents konusuna değineceğim, umarım faydalı bir makale olmuştur. Bir sonraki makalemde görüşmek üzere.

Bir önceki bölüm için

Azure Sentinel Adım Adım Bulut SIEM Kullanımı – Bölüm6 – Windows Server DNS Loglarının Toplanması – Hakan Uzuner

Bir sonraki bölüm için

Azure Sentinel Adım Adım Bulut SIEM Kullanımı – Bölüm8 – Incidents – Hakan Uzuner